业务连续性管理体系认证实施规则ISCCC-BCMS-001:2016中国信息安全认证中心目录1.适用范围 (2)2.认证依据 (2)3.术语和定义 (2)3.1.信息收集 (2)3.2.现场审核 (2)3.3.现场见证（验证） (2)4.认证类别 (2)5.审核人员及审核组要求 (2)6.认证信息公开 (2)7.认证程序 (3)7.1.初次认证 (3)7.2.监督审核 (6)7.3.再认证 (9)7.4.管理体系结合审核 (9)7.5.特殊审核 (9)7.6.暂停、撤消认证或缩小认证范围 (10)8.认证证书 (11)8.1.证书内容 (11)8.2.证书编号 (11)8.3.对获证组织正确宣传认证结果的控制 (12)9.对获证组织的信息通报要求及响应 (12)10.附录A：审核时间 (13)1.适用范围本规则用于规范中国信息安全认证中心（简称中心）开展业务连续性管理体系（BCMS）认证活动。

2.认证依据以国家标准GB/T 30146-2013/ISO/IEC22301:2012《公共安全业务连续性管理体系要求》为认证依据。

3.术语和定义3.1.现场审核中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。

3.2.现场见证（验证）现场见证是针对受审核方或获证组织为满足相关方利益诉求、实现组织业务目标和处置组织风险所实施的关键活动而进行的，对关键活动的执行过程进行跟踪见证；现场验证是针对关键活动所采取的关键技术而进行的，以验证这些技术措施的功能能够得到实现。

3.3.现场评价现场评价包括现场审核和现场见证（验证）4.认证类型认证类型分为初次认证，监督审核和再认证。

一个认证周期内至少进行一次现场见证（验证）。

为满足认证的需要，中心可以实施特殊审核，特殊审核可以采取现场审核和现场见证（验证）等方式进行。

5.审核人员及审核组要求认证审核人员必须取得其他管理系注册审核员资格或者取得业务连续性管理体系审核员资格，取得资格的审核员中心应对其进行专业能力评价，以确定其能够胜任所安排的审核任务。

审核组应由能够胜任所安排的审核任务的审核员组成。

必要时可以补充技术专家以增强审核组的技术能力。

具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。

技术专家应在审核员的监督下进行工作，可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议，但技术专家不能作为审核员。

6.认证信息公开中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息：1)认证服务项目；2)认证工作程序；3)认证依据；4)证书有效期；5)认证收费标准。

7.认证程序7.1.初次认证7.1.1.认证申请中心应要求申请组织的授权代表至少提供以下必要的信息：1)认证申请书，包括但不限于以下内容：a．申请认证的管理体系b．企业基本信息，包括业务活动、组织架构、联系人信息、物理位置和体系范围等基本内容c．法律地位资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书，组织代码证和税务登记证（如果有）)；d．体系运行的时间；e．取得相关法规规定的行政许可文件(适用时)。

7.1.2.申请评审中心应根据认证依据、程序等要求，在三个工作日内对申请组织提交的认证申请书及其相关资料进行评审并保存评审记录，做出评审结论，以确定：1)所需要的基本信息都得到提供；2)申请组织的行业类别和与之相对应的管理体系管理的过程特性和管理要求；3)国家对相应行业的管理要求；4)中心与申请组织之间任何已知的理解差异得到消除；5)中心有能力并能够实施认证活动；6)申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素；7)中心应建立关于审核人日的确定准则，根据受审核方的规模、特性、业务复杂程度、管理体系涵盖的范围、认证要求和其承担的风险等因素核算并确定审核人日，以确保审核的充分性和有效性。

将确定后的人日数记录在审核方案中，审核人日的确定规则参考附录A。

7.1.3.建立审核方案在申请评审后，中心应针对申请组织建立审核方案（申请组织变更为受审核方），并由专职人员负责管理审核方案。

审核方案范围与程度的确定应基于受审核组织的规模和性质，以及受审核管理体系的性质、功能、复杂程度以及成熟度水平。

审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源，应包括以下内容：1)审核方案的目标；2)审核的范围与程度、数量、类型、持续时间、地点、日程安排；3)审核准则；4)审核方法；5)审核组的选择；6)所需的资源，包括交通和食宿；7)处理保密性、信息安全、健康和安全，以及其它类似事宜。

7.1.4.确定审核组中心应根据受审核方的行业、规模和业务复杂程度组建审核组，指派审核组长。

审核组组建原则见第5章。

7.1.5.一阶段审核审核组应对受审核方开展一阶段审核，以确定：1)受审核方的管理体系得到策划和实施；2)受审核方的管理体系已运行，并有足够的证据证明其运行情况；3)受审核方对运行的管理体系进行了监视、测量、分析和评价，并有充分的证据；4)受审核方对管理体系进行了有效的持续改进；5)受审核方是否识别并遵守了相关的法律法规；6)受审核方有充足的资源保障现场审核的进行；7)受审核方哪些过程和控制措施需要进行现场见证或验证；8)是否可以开展现场审核和现场见证（验证）。

9)收集关于客户的管理体系范围、过程和场所的必要信息，包括：a)客户的场所b)使用的过程和设备c)所建立的控制的水平（特别是客户为多场所时）7.1.6.现场评价计划审核组应结合受审核方的申请材料、审核方案对现场评价的策划以及一阶段审核的结果对现场评价做出具体安排，包括但不限于具体的时间安排、审核组成员对受审核方按岗位和活动以何种方式进行评价的安排、高层沟通的安排和会议的安排。

审核组长应至少在实施现场评价3个工作日之前，与受审核方就审核计划进行充分沟通，确保双方在理解上没有歧义。

7.1.7.现场评价审核组按照审核计划的安排对受审核方进行现场评价，现场评价包括现场审核和现场见证（验证），这两种形式的评价可以同时进行也可以分开进行，主要考虑受审核方现场见证（验证）所需要的条件和环境。

如果现场审核与现场见证（验证）不同时进行，现场见证（验证）原则上在下一次监督审核之前完成。

现场见证（验证）在一个认证周期内至少进行一次。

现场评价应考虑一阶段审核结果，对受审核方的管理过程和控制措施的运行情况进行评价，对一阶段审核提出的问题改进情况进行验证。

现场审核的内容包括但不限于：a．组织环境(应对风险和机会的措施，管理目标和达标计划)；b．领导（管理承诺，方针，组织的角色、责任和权限）；c．策划(应对风险和机会的措施，管理目标和实现计划)；d．支持(资源，能力，意识，沟通，文件化信息)；e．运行(运行的策划和控制，业务影响分析和风险评估，业务连续性策略，建立和实施业务连续性程序，演练和测试)；f．绩效评估(监视、测量、分析和评价，内部审核，管理评审)；g．改进(不符合和纠正措施，持续改进)。

现场见证的内容主要针对业务连续性计划的演练过程见证，以确定受审核方业务连续性计划的演练能够验证和确保业务连续性计划的有效性。

需要根据受审核方的演练计划进行现场见证的安排。

如果现场见证过程中受审核方的业务连续性计划演练过程不满足标准要求，见证人员将开具不符合项，并决定中心是否需要在6个月内对受审核方再次进行现场见证，如再次见证后见证人员仍然认为演练无法通过，则对证书进行暂停。

7.1.8.初次认证的审核结论审核组应该对一阶段审核和现场评价中收集的所有信息和证据进行汇总分析，评价审核发现并就审核结论达成一致。

如果现场评价发现不符合项和观察项应开具不符合项报告，且获得受审核方认同。

现场评价结束，审核组应形成是否推荐认证注册的结论；如果现场审核和现场见证（验证）需要分开实施，且现场见证（验证）需要在现场审核结束后进行，审核组可以根据一阶段审核结果和现场审核的结果对受审核方的管理体系是否满足所有适用的认证依据的要求进行评价，并判断是否推荐认证注册。

现场评价结束后（现场见证（验证）需在现场审核结束后实施时，现场审核结束视同现场评价结束），3个工作日内，审核组长完成审核报告编制工作，中心将与受审核方进行沟通，确保双方对报告的理解上没有歧义。

7.1.9.认证决定中心应指派认证决定人员，对受审核方的认证申请实施认证决定，以决定：a．同意认证注册，颁发认证证书；b．补充认证决定所需的信息，包括但不限于申请材料、审核材料，再行决定；c．不同意认证注册，并将理由通知受审核方。

认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础，以充分的证据证实受审核方建立管理体系得到了建立、实施、运行、监视、评审、保持和改进。

注1：参加审核的人员不能再作为认证决定人员实施认证决定。

注2：受审核方获得认证注册资格后变更为获证组织。

7.1.10.审核方案记录与变更审核方案管理人员应收集一阶段审核、现场评价和认证决定的信息，特别是形成的结论和变化的信息，记录到审核方案中。

并确定审核方案是否需要进行变更，如需要则更新相应项目内容。

7.2.监督审核7.2.1.监督频次中心应在满足认可要求的基础上，根据获证组织管理体系覆盖的业务活动的特点以及所承担的风险，合理设计和确定监督审核的时间间隔和频次。

当获证组织管理体系发生重大变更，或发生重大问题、业务中断事故、客户投诉等情况时，中心可视情况增加监督的频次。

监督审核的最长时间间隔不超过12个月。

由于获证组织业务运作的时间(季节)特点及其内部审核安排等原因，可以合理选取和安排监督周期及时机，在认证证书有效期内的监督审核必须覆盖管理体系认证范围内的所有业务活动。

7.2.2.信息收集在进行监督审核之前，中心需要收集获证组织的管理体系相关信息，以确定获证组织的管理体系相关信息是否发生变化。

需要客户提供的信息包括以下几个方面：1)信息确认文件，包括但不限于：a．基本信息，包括组织名称、地址、联系人、法人等信息的变化情况；b．组织信息：包括范围、组织架构、人员数量等信息的变化情况；c．管理体系相关信息，关键文件化信息的变化情况。

7.2.3.确定审核组中心应根据获证组织的行业、规模和业务复杂程度组建审核组，指派审核组长。

审核组组建原则，见第5章。

7.2.4.信息评审审核组应对获证组织的信息确认文件进行评审，以确定：1)获证组织的管理体系变化情况，尤其是管理体系范围的变化；2)是否需要修订审核方案。

7.2.5.制定现场评价计划审核组应结合获证组织的信息确认文件、审核方案对监督审核中现场评价的策划和一阶段审核的结果对现场评价做出具体安排，包括但不限于具体的时间安排、审核组成员对获证组织按岗位和活动以何种方式进行评价的安排、高层沟通的安排和会议的安排。